파일 무결성 모니터링이란 무엇이며 WordPress 웹사이트에 왜 필요한가요?

맬웨어 감염으로부터 WordPress 웹 사이트를 청소해야 했던 적이 있습니까? 어떤 코드가 손상되었는지 확인하는 방법을 알고 있습니까? 개발자나 에이전시가 웹사이트에 백업 및 남은 파일을 남겨두고 노출될 수 있다는 사실을 알고 계십니까?

이 게시물은 파일 무결성 모니터링(FIM) 이 이러한 질문에 답하는 데 어떻게 도움이 되는지 설명합니다. 파일 무결성 모니터 플러그인이 WordPress 사이트의 파일을 더 잘 관리하는 데 어떻게 도움이 되는지 알아보겠습니다. 초기 단계에서 문제를 감지하는 것은 매우 중요합니다. 이를 통해 공격이나 문제의 피해를 완화하고 제한할 수 있습니다.

참고: 파일 무결성 모니터링은 파일 변경 스캔, 파일 변경 모니터 및 이와 유사한 용어로 더 일반적으로 알려진 기술 용어입니다.

파일 무결성 모니터링 및 스캔이란 무엇입니까?

파일 무결성 검사 또는 모니터는 파일의 지문을 비교하여 변경되었는지 파악하는 프로세스를 나타냅니다. 파일 무결성 검사 소프트웨어는 시스템에 있는 파일의 지문 또는 암호화 해시를 생성하여 작동합니다. 파일의 내용이 변경되면 지문도 변경됩니다. 파일의 핑거프린트 변경을 감지하면 파일 무결성 스캐너가 관리자에게 알립니다.

WordPress 사이트에서 파일 무결성 검사가 필요한 이유는 무엇입니까?

파일 변경은 바쁜 워드프레스 웹사이트에서 자주 발생합니다. 물론 이러한 변화의 대부분은 바람직합니다. 예를 들어 새 미디어 파일을 추가할 때 플러그인을 설치하거나 업데이트하고 의도적으로 테마의 코드를 수정합니다. 그러나 다른 변경 사항은 양성과 거리가 멀거나 실수로 수행될 수 있습니다.

파일 무결성 스캐너를 사용하면 WordPress 웹사이트의 무결성 을 추적할 수 있습니다. 즉, 설치한 새 플러그인이나 테마가 사이트 파일을 수정하지 않았는지 확인하는 데 도움이 됩니다.

사전 예방적 및 사후적 파일 무결성 모니터링 및 스캔

기본 FIM(파일 무결성 모니터링) 및 검색을 사용하는 방법에는 사전 예방적 및 사후 대응의 두 가지 기본 방법이 있습니다. 이 두 가지 방법 모두 이 게시물에 설명되어 있습니다.

사전 보안 조치

파일 무결성 검사를 사전에 사용하면 나쁜 일이 발생하는 것을 방지합니다. 다음은 사전 예방적 파일 무결성 모니터링이 실수를 감지하고 알려주는 몇 가지 시나리오입니다. 이렇게 하면 공격자가 취약점을 식별하거나 사이트에 문제가 있기 전에 문제를 해결할 수 있습니다.

• 개발자가 실수로 텍스트 또는 민감한 정보가 포함된 다른 유형의 파일을 복사합니다. 이러한 유형의 파일은 악의적인 해커가 쉽게 찾고 다운로드할 수 있습니다.
• 데이터베이스 관리자는 웹사이트에 MySQL 데이터베이스 백업(.sql)을 남깁니다. 이렇게 하면 공격자가 전체 WordPress 데이터베이스를 다운로드할 수 있습니다.
• 웹마스터는 wp-config.php의 복사본을 만들고 이름을 wp-config.bak으로 지정합니다. 더 이상 PHP 파일이 아니기 때문에 공격자가 백업 파일을 다운로드할 수 있습니다.
• 누군가 Vim 편집기를 사용하여 서버에서 직접 PHP 파일을 편집하고 편집기를 제대로 종료하지 않습니다. 이렇게 하면 .swp 파일이 남습니다. 웹 서버가 PHP 코드로 취급하지 않기 때문에 공격자는 이러한 파일을 다운로드할 수 있습니다.

사후 보안 조치

많은 사람들이 사후 보안 조치를 너무 늦는 것과 연관시킵니다. 그러나 실제로 적시에 대응하는 보안 조치는 공격을 완화하는 데 중요합니다. 또한 상황이 더 악화되기 전에 피해를 막는 데 도움이 됩니다.

다음은 파일 무결성 스캐너를 사용하여 의심스러운 활동을 빠르게 드릴다운하고 공격이 발생하는 동안 또는 발생한 후에 조치를 취할 수 있는 몇 가지 시나리오입니다.

WordPress 공격 시나리오 1

파일 무결성 모니터 플러그인이 새 PHP 파일을 감지합니다. 이름이 불분명하며 /wp-content/uploads 디렉토리에 저장됩니다. 검사 시 WordPress 관리자는 이 파일을 자신 또는 팀이 변경한 것으로 간주할 수 없습니다. 파일에는 웹 셸 이 되는 난독화된 코드가 포함되어 있습니다. 관리자는 신속하게 조치를 취해야 합니다.

먼저 그는 추가 분석을 위해 파일의 복사본을 만듭니다. 그런 다음 WordPress 사이트에 대한 공격자의 액세스를 차단하기 위해 삭제합니다. 웹 서버 로그를 조사한 후 관리자는 이 파일이 사이트의 파일 업로드 양식에서 취약점을 악용한 공격자에 의해 업로드되었음을 알게 되었습니다. 모든 정보를 손에 넣은 상태에서 관리자는 개발자와 대화하여 문제를 해결할 수 있습니다.

WordPress 공격 시나리오 2

WordPress 파일 변경 사항 모니터 플러그인은 관리자에게 WordPress 코어 파일 변경 사항을 알립니다. 이것은 WordPress 업데이트 동안을 제외하고는 발생하지 않아야 합니다. 그러나 이것은 다른 WordPress 관리자가 새 플러그인을 설치한 직후에 발생했습니다.

조사 후 웹마스터는 다른 사람들도 비슷한 행동을 경험했다는 것을 발견하고 악성 플러그인을 보고했습니다. 이 플러그인은 WordPress 자격 증명을 훔쳐 사용자가 로그인할 때 공격자에게 보내도록 설계되었습니다.

웹마스터는 즉시 루즈 플러그인을 제거하고 변조된 파일을 복원합니다. 그는 또한 플러그인으로 모든 WordPress 사용자의 비밀번호를 재설정합니다.

WordPress 공격 시나리오 3

파일 무결성 모니터 플러그인은 WordPress 루트의 비밀번호로 보호된 디렉토리에 있는 모호한 파일을 관리자에게 알립니다. 디렉토리는 민감한 정보가 포함된 정적 파일을 저장하며 HTTP 인증을 사용하여 강력한 암호로 보호됩니다.

약간의 조사 후에 웹마스터는 파일이 익명 쓰기 액세스를 허용하는 잘못 구성된 FTP 서버를 통해 업로드되었음을 깨달았습니다. 관리자는 즉시 FTP 서버의 구성을 수정하고 익명 인증을 비활성화합니다.

주목해야 할 WordPress 파일은 무엇입니까?

WordPres 활동 로그와 유사하게 파일 무결성 검사 플러그인을 사용하면 효과를 보기 위해 무엇을 찾아야 하는지 알아야 합니다. 모든 파일 변경 사항을 추적하면 끝없는 경고 스트림을 받을 수 있습니다. 너무 적게 추적하면 파일 변경 모니터 플러그인의 모든 이점을 잃게 됩니다.

명심해야 할 또 다른 중요한 요소는 모든 파일 변경 사항이 악의적이거나 문제가 있는 활동의 지표가 아니라는 것입니다. 예를 들어 백업 플러그인이 권한이 없는 사용자에게 금지된 디렉토리에 SQL 파일을 작성하는 경우 문제가 없습니다. 다음은 WordPress 디렉토리의 양성 및 악의적인 변경을 구별하기 위한 몇 가지 지침입니다.

/wp-content/uploads/ 워드프레스 디렉토리

워드프레스 웹사이트는 매우 활동적인 경향이 있습니다. 따라서 생성되거나 수정된 ​​모든 단일 파일을 모니터링하면 끝없는 경고 스트림이 발생할 수 있습니다. 거의 모든 경우에 /wp-content/uploads/ 디렉토리에서 정적 파일을 제외하는 것이 좋습니다.

정적 파일에는 이미지, 비디오 및 오디오와 같은 미디어 파일과 프레젠테이션, 스프레드시트 및 PDF와 같은 문서가 포함됩니다. 이러한 파일은 무시하는 것이 안전하지만 업로드 디렉토리는 무시할 수 없습니다. PHP 파일과 같은 실행 파일이 이 디렉토리에 업로드되어 있는지 정말로 알고 싶습니다.

/wp-content/cache/ 워드프레스 디렉토리

이 디렉토리는 까다로운 디렉토리입니다. WordPress 캐싱 플러그인에서 사용됩니다. 캐싱 플러그인의 구성에 따라 합법적인 PHP 파일을 포함하여 /wp-content/cache/ 의 하위 디렉토리에서 다양한 파일을 볼 수 있습니다. 이는 특히 개체 캐싱을 활성화한 경우 캐싱 플러그인에 의해 추가됩니다. 이 경우 동작 또는 캐싱 플러그인 및 해당 플러그인이 저장하는 파일을 연구하고 결과에 따라 파일 무결성 스캐너를 구성하십시오. 캐싱 플러그인을 사용하지 않거나 플러그인이 PHP 및 기타 소스 코드 파일을 저장하지 않는 경우 이 디렉토리를 모니터링하는 것이 훨씬 쉽습니다.

/wp-content/plugins 및 /wp-content/themes/ 워드프레스 디렉토리

플러그인을 추가, 삭제 또는 업데이트하면 /wp-content/plugins/ WordPress 디렉토리에 변경 사항이 표시됩니다. 팀을 변경하면 /wp-content/themes/ 디렉토리에서 파일 변경 사항을 확인할 수 있습니다.

이것은 이러한 디렉터리에서 발생하는 모든 변경 사항이 항상 무해하다는 의미는 아닙니다. 그러나 일반적으로 이 두 디렉토리 내의 파일 변경은 WordPress의 일부 관리 작업의 결과로만 발생해야 합니다.

참고: WordPress용 웹사이트 파일 변경 모니터 플러그인에는 고유한 기능이 있습니다. WordPress 코어, 플러그인 및 테마 변경 사항을 인식합니다. 따라서 수백 개의 파일 변경 사항에 대해 잘못된 경보를 보내지 않습니다. 파일 변경 사항이 사이트 변경의 결과라는 경고를 표시하여 변경 사항을 검토할 수 있습니다.

워드프레스 루트 디렉토리

WordPress 루트 디렉토리는 웹 서버의 실제 WordPress 설치입니다. 주목해야 할 중요한 위치입니다. 종종 여기에서 수행된 파일 변경은 사용자가 변경을 수행하지 않는 한 조사할 수 있는 좋은 신호를 제공합니다.

워드프레스 코어 파일

워드프레스 코어 파일은 워드프레스 웹 애플리케이션을 구성하는 실제 파일입니다. 코어 파일의 수정은 WordPress 업데이트의 결과 로만 발생해야 합니다. 다른 조건에서는 절대 발생해서는 안 됩니다.

따라서 WordPress Core 파일을 수동으로 편집하지 않는 한(이 작업을 피하고 WordPress를 사용자 지정하는 더 좋은 방법이 있음) 이것은 뭔가 수상한 것이 있다는 고품질 신호여야 합니다.

내 WordPress 사이트에서 파일 변경 사항을 어떻게 모니터링합니까?

파일 무결성 검사는 WordPress와 관련이 없는 여러 도구를 사용하여 수행할 수 있지만 대부분은 일반적으로 실행, 구성 및 작동에 상당한 학습 곡선이 필요합니다.

대신, 더 정밀한 결과가 좋지 않다면 WordPress용 웹 사이트 파일 변경 모니터 플러그인을 사용하는 것이 더 간단한 방법입니다. 이 플러그인에는 WordPress 코어, 플러그인 및 테마 업데이트, 설치 및 삭제를 인식하는 독점적인 스마트 기술이 있습니다. 따라서 오경보를 발생시키는 오탐지를 보고하지 않습니다! 오탐지 및 당사의 스마트 기술에 대한 자세한 내용은 파일 무결성 모니터링의 오탐지를 참조하십시오.

플러그인은 사이트 구조 변경을 인식합니다. 따라서 변경 사항이 있을 때 플러그인은 WordPress 사이트에 추가되거나 수정된 ​​수백 개의 파일이 아니라 사이트 구조 변경을 알려줍니다. 작업을 자동화하고 잘못된 경보를 발생시키지 않으며 결과를 수동으로 필터링할 필요가 없습니다.

지금 WordPress용 무료 웹사이트 파일 변경 모니터를 다운로드하여 사이트 보안을 더 잘 관리하고 개선하십시오.

이미 WordPress 보안 플러그인을 사용하고 있다면 어떻게 합니까?

이미 WordPress 보안 플러그인을 사용하고 있다면 훌륭합니다. 계속 사용하세요. 그러나 파일 무결성 모니터링은 보안 플러그인의 초점이 아닙니다. 성능을 염두에 두고 파일 무결성 모니터링을 위해 특별히 설계된 WordPress 플러그인을 사용하면 파일 무결성 모니터링이 제공하는 모든 귀중한 통찰력을 추가하여 일반 WordPress 보안 플러그인을 사용할 때의 모든 이점을 얻을 수 있습니다.